A investigação digital é o conjunto de atos de polícia judiciária voltados a identificar autoria, materialidade e dinâmica de fatos praticados por meios eletrônicos ou que deixam rastros digitais relevantes. O foco jurídico-processual está em transformar vestígios voláteis (registros de acesso, metadados, conteúdo armazenado em nuvem, transações eletrônicas) em prova válida, com preservação de integridade, rastreabilidade e pertinência ao objeto investigado.
Prova eletrônica pode ser entendida como qualquer dado com potencial probatório armazenado, transmitido ou processado por sistemas informáticos (conteúdo e não conteúdo). Na prática, a distinção entre dados de conteúdo (mensagens, arquivos, áudios) e dados de registro (logs, IP, datas/horas, identificadores, geolocalização, cabeçalhos, metadados) orienta a escolha da medida, o nível de invasividade e os requisitos de fundamentação judicial.
1. Vestígios digitais: o que procurar e como qualificar juridicamente
1.1 Conteúdo, registros e metadados
Em termos probatórios, é útil classificar os vestígios em três camadas, porque cada uma exige cuidados próprios de obtenção e validação:
Conteúdo: texto, imagem, áudio, vídeo, arquivos e conversas. Em geral, é mais invasivo e tende a exigir decisão judicial com fundamentação reforçada, delimitação precisa e demonstração de indispensabilidade.
Registros (logs): dados de conexão e de acesso, como IP, data/hora, porta lógica, identificadores de sessão, registros de autenticação, trilhas de auditoria. São essenciais para atribuição de autoria e para reconstrução de eventos.
Continue em nosso aplicativo
Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.
ou continue lendo abaixo...
Baixar o aplicativo
Metadados: informações sobre o próprio dado (ex.: EXIF de foto, cabeçalhos de e-mail, carimbo de tempo, hash, histórico de edição, identificadores de dispositivo). Metadados frequentemente sustentam a narrativa de autenticidade (quando, onde, por quem, em que dispositivo).
Na redação de peças, descreva o vestígio com linguagem compreensível ao juiz: “registro de autenticação”, “carimbo de tempo”, “cabeçalho”, “identificador de dispositivo”, “trilha de auditoria”, evitando jargões técnicos sem explicação.
1.2 Volatilidade e risco de perecimento
Dados digitais podem ser alterados, sobrescritos ou apagados rapidamente (rotatividade de logs, contas excluídas, mensagens efêmeras). Esse risco justifica medidas de preservação imediata, com posterior requisição/representação para acesso, sempre com delimitação e proporcionalidade.
2. Preservação e coleta: roteiro prático sem dependência de ferramenta
2.1 Passo a passo: preservação inicial (primeiras 24–48 horas)
Passo 1: delimitar o fato e a hipótese investigativa. Defina o que se quer provar (materialidade, autoria, nexo, vantagem, ocultação), quais eventos digitais são relevantes e qual janela temporal provável.
Passo 2: mapear fontes de dados. Dispositivo da vítima/suspeito, contas (e-mail, mensageria, redes), provedores de aplicação, provedores de conexão, instituições financeiras, plataformas de pagamento, registros corporativos, câmeras IP, serviços em nuvem.
Passo 3: adotar medidas de preservação. Formalize pedidos de preservação de registros e conteúdos armazenados quando cabível, indicando contas/identificadores e período. A preservação não é acesso: é congelamento para evitar perecimento.
Passo 4: registrar a condição do vestígio. Documente como o dado foi encontrado (tela, contexto, data/hora local, usuário logado, URL/ID do conteúdo). Se houver risco de alteração, registre de modo a permitir verificação posterior (captura contextualizada, identificação do ambiente, e, quando possível, obtenção do dado direto da fonte primária).
Passo 5: decidir a via de obtenção. Se o dado depende de medida invasiva (conteúdo de comunicações, dados em nuvem privada, extração aprofundada de dispositivo), prepare representação com requisitos estritos. Se for dado de registro ou informação cadastral, avalie a base legal e a necessidade de ordem judicial conforme o caso.
2.2 Coleta em dispositivos: custódia, isolamento e documentação
Quando houver apreensão de dispositivos, a validade probatória depende de demonstrar que o objeto coletado é o mesmo analisado e que não houve adulteração. Além da formalização do ato (auto, lacre, identificação), a narrativa deve explicar por que o dispositivo é pertinente ao fato e quais dados se pretende buscar.
Custódia física: acondicionamento, lacre, identificação do item (marca/modelo/serial/IMEI quando aplicável), registro de quem recebeu e onde ficou armazenado.
Isolamento lógico: evitar alterações remotas (sincronização, comandos à distância, apagamento). Descrever as cautelas adotadas para impedir modificação do conteúdo após a apreensão.
Documentação do estado: se o dispositivo estava ligado/desbloqueado, registre circunstâncias e decisões tomadas. Se estava desligado, registre. O ponto é permitir reprodutibilidade e controle.
Em termos de redação, prefira frases verificáveis: “apreendido em tal local”, “lacrado sob número”, “encaminhado para exame pericial”, “mantido sob guarda em tal unidade”, “sem acesso ao conteúdo até autorização e perícia”.
2.3 Coleta em fontes externas: provedores e registros corporativos
Para dados sob guarda de terceiros, a estratégia é obter registros suficientes para atribuição e reconstrução do evento, sem pedidos genéricos. A peça deve indicar: conta/identificador, período, tipo de dado, pertinência e finalidade probatória.
Provedores de aplicação: podem manter registros de acesso, IPs, carimbos de tempo, identificadores de sessão, histórico de login, dispositivos associados, e, em alguns casos, conteúdo armazenado.
Provedores de conexão: em geral, relevantes para vincular IP a assinante em determinado momento, exigindo precisão temporal.
Ambiente corporativo: trilhas de auditoria, logs de servidor, registros de VPN, controle de acesso, e-mails corporativos, políticas de retenção. Atenção à cadeia de custódia e à autenticidade (quem extraiu, como extraiu, integridade).
3. Logs e atribuição: como transformar IP e eventos em narrativa probatória
3.1 Elementos mínimos para correlação
Para que logs sustentem autoria, é necessário correlacionar eventos com consistência temporal e identificadores compatíveis. Elementos que costumam ser decisivos:
Carimbo de tempo com fuso/precisão informados (e, se possível, referência a sincronização).
IP e porta lógica quando aplicável, para reduzir ambiguidades em ambientes de compartilhamento.
Identificadores de conta (ID interno, e-mail, telefone) e de sessão.
Identificadores de dispositivo (quando disponíveis) e histórico de dispositivos confiáveis.
Sequência de eventos: criação de conta, alteração de senha, login, mudança de e-mail/telefone, transações, exclusões.
Na peça, explique a lógica de correlação: “o mesmo identificador de sessão realizou login e, minutos depois, efetuou transferência”; “o IP atribuído ao assinante X no horário Y acessou a conta Z e alterou dados cadastrais”.
3.2 Riscos interpretativos e como mitigá-los
IP não é pessoa: trate IP como indício que exige corroboração (dispositivo, conta, pagamentos, geolocalização, imagens, testemunhos, perícia).
Ambientes compartilhados: redes públicas, NAT, CGNAT e múltiplos usuários. Mitigue com porta lógica, logs de autenticação, dados de dispositivo e trilhas adicionais.
Relógios divergentes: inconsistência de horários pode gerar dúvida. Solicite informação sobre fuso, precisão e sincronização; compare com outros registros.
Logs incompletos: retenção limitada. Daí a importância de preservação imediata e delimitação temporal adequada.
4. Medidas invasivas e limites de sigilo e privacidade: requisitos de decisão judicial
Medidas que atingem a esfera de privacidade e sigilo exigem decisão judicial fundamentada, com demonstração de necessidade, adequação e proporcionalidade, além de delimitação do objeto. Na prática, a robustez da fundamentação e a precisão do pedido são determinantes para evitar nulidades e para garantir que o material obtido seja aproveitável.
4.1 Checklist de requisitos para pedidos e decisões
Fumus com base em elementos concretos: descreva fatos já apurados (eventos, registros preliminares, relatos, documentos) e a ligação com a medida pretendida.
Indispensabilidade: explique por que a prova não pode ser obtida por meios menos invasivos ou por que esses meios já foram tentados e se mostraram insuficientes.
Delimitação objetiva: quais contas, quais identificadores, quais dispositivos, quais tipos de dados (conteúdo, registros, metadados), quais eventos.
Delimitação temporal: período exato ou justificadamente aproximado, com marco inicial e final (ex.: “de 01/03 a 20/03”, “72 horas anteriores e posteriores ao evento X”).
Pertinência temática: vincule cada categoria de dado ao fato investigado (ex.: logs para autoria; metadados para autenticidade; conteúdo para dolo/ameaça/ordem de execução).
Minimização: peça apenas o necessário e proponha filtros (por período, por conta, por palavras-chave quando juridicamente adequado, por eventos).
Forma de entrega e integridade: solicite que os dados venham com informações de integridade e contexto (ex.: relatórios com campos, carimbos de tempo, identificação do responsável, e, quando possível, hashes).
4.2 Cuidados de redação: como evitar pedidos genéricos
Pedidos amplos (“todos os dados da conta desde a criação”) tendem a ser questionados por desproporcionalidade. Prefira estruturar em itens, cada qual com justificativa. Exemplo de estrutura:
1) Registros de acesso (IP, data/hora, porta lógica se disponível) da conta X no período Y–Z, para identificar a origem dos logins no intervalo do golpe narrado pela vítima. 2) Dados cadastrais e histórico de alterações (e-mail, telefone, recuperação de conta) no período Y–Z, para verificar tomada de conta e vincular a dispositivos/contas correlatas. 3) Conteúdo de mensagens trocadas com o identificador W no período Y–Z, exclusivamente para comprovar a ameaça/indução e o nexo com a transferência financeira indicada no evento T.Ao vincular cada item a uma finalidade probatória, você facilita a fundamentação judicial e reduz risco de excesso.
5. Validação e análise: do dado técnico à prova compreensível
5.1 Autenticidade, integridade e contextualização
Para que a prova eletrônica seja persuasiva, ela precisa ser inteligível e verificável. Três perguntas devem ser respondidas no relatório investigativo e, quando aplicável, na requisição pericial:
Autenticidade: o dado é o que afirma ser? (origem, conta, dispositivo, fonte primária)
Integridade: permaneceu inalterado desde a coleta? (registro de integridade, controle de acesso, documentação do fluxo)
Contexto: o que o dado significa no evento investigado? (linha do tempo, correlação com outros elementos, explicação de campos)
Capturas de tela podem auxiliar, mas são mais fortes quando corroboradas por dados obtidos da fonte (logs do provedor, arquivos originais, cabeçalhos, relatórios oficiais). Sempre que possível, busque a “fonte primária” do registro.
5.2 Linha do tempo (timeline) como técnica de narrativa jurídica
Uma boa prática é construir uma linha do tempo com marcos objetivos: criação de conta, primeiro contato, ameaça, login suspeito, alteração de credenciais, transação financeira, saque, movimentações subsequentes, exclusão de mensagens. A timeline conecta prova técnica a elementos do tipo penal e à dinâmica do crime.
Como montar: liste eventos com data/hora, fonte (qual log/documento), identificador (conta/IP/ID), e relevância (o que prova).
Como apresentar: em linguagem simples, com remissão ao anexo técnico/pericial.
6. Casos práticos: fraudes, invasões, extorsões e lavagem digital
6.1 Fraude eletrônica com tomada de conta e transferência
Cenário: vítima relata que recebeu mensagem de “suporte” e, após fornecer código, perdeu acesso à conta. Em seguida, houve transferência via aplicativo bancário e contato com familiares pedindo dinheiro.
Objetivos probatórios: (i) demonstrar a tomada de conta; (ii) identificar origem dos acessos; (iii) vincular a conta fraudadora a dispositivo/assinante; (iv) demonstrar nexo entre a tomada e a vantagem econômica.
Passo a passo:
Passo 1: coletar com a vítima dados mínimos: identificador da conta, datas/horas aproximadas, mensagens recebidas, comprovantes de transação, números/contas destinatárias.
Passo 2: preservar registros junto ao provedor da conta (aplicação) e, se necessário, junto ao provedor de conexão para futura vinculação de IP.
Passo 3: representar/requisitar dados de registro: logins, IP/porta, alterações de credenciais, dispositivos associados, eventos de recuperação de conta, no intervalo delimitado.
Passo 4: representar/requisitar dados bancários estritamente pertinentes (transação específica, destinatários, horários, canais), para construir o nexo temporal com o login suspeito.
Passo 5: construir timeline correlacionando: evento de recuperação de conta → login de IP suspeito → alteração de e-mail/telefone → transação → mensagens a terceiros.
Cuidados de narrativa: explicitar por que logs são necessários para autoria e por que o conteúdo é limitado ao diálogo com o “suporte” e/ou com destinatários diretamente ligados ao golpe, evitando devassa de conversas irrelevantes.
6.2 Invasão de dispositivo/conta com exfiltração de dados
Cenário: empresa identifica acesso indevido a servidor e vazamento de base de clientes. Há suspeita de credenciais comprometidas e uso de VPN.
Objetivos probatórios: (i) comprovar o acesso não autorizado; (ii) identificar vetor (credencial, engenharia social, falha); (iii) atribuir autoria; (iv) dimensionar dano e extensão do vazamento.
Passo a passo:
Passo 1: preservar logs corporativos (autenticação, VPN, firewall, auditoria de banco de dados) e registrar política de retenção e integridade.
Passo 2: solicitar relatório técnico interno com campos e glossário (o que significa cada log), mantendo a extração rastreável (quem extraiu, quando, de onde).
Passo 3: identificar IPs/identificadores externos e representar para vinculação a assinantes no período exato, com atenção a fuso e precisão.
Passo 4: se houver conta de e-mail usada para phishing, representar por registros de criação, logins e recuperação, delimitando janela temporal do ataque.
Passo 5: consolidar a narrativa: credencial usada → autenticação bem-sucedida → comandos executados → volume de dados acessado → saída de dados → monetização (se houver).
Cuidados de validação: diferenciar “alerta” de “evidência”; logs devem ser contextualizados e, quando possível, corroborados por múltiplas fontes (ex.: auditoria do banco + VPN + sistema operacional).
6.3 Extorsão digital (sextorsão ou ameaça com divulgação)
Cenário: vítima recebe ameaça de divulgação de imagens e exigência de pagamento em ativo virtual ou transferência instantânea.
Objetivos probatórios: (i) comprovar a ameaça e a exigência; (ii) identificar o canal e o perfil; (iii) rastrear o fluxo financeiro; (iv) vincular o perfil a acessos e dispositivos.
Passo a passo:
Passo 1: orientar a vítima a preservar as mensagens e registrar o identificador do perfil, links, IDs e horários.
Passo 2: preservar dados junto ao provedor da aplicação, com foco em registros de acesso e identificação do perfil.
Passo 3: representar por conteúdo estritamente necessário: mensagens de ameaça e negociação no período delimitado, evitando acesso a conversas alheias ao fato.
Passo 4: rastrear pagamento: dados do recebedor, chaves, contas de destino, horários, e eventuais conversões, sempre conectando ao momento da ameaça.
Passo 5: construir a prova por camadas: (a) conteúdo da ameaça; (b) logs que vinculam o perfil a IP/dispositivo; (c) trilha financeira que demonstra vantagem e destino.
Cuidados de proporcionalidade: por envolver intimidade, a delimitação do conteúdo e a minimização são centrais. A peça deve justificar por que o conteúdo é indispensável para materialidade e dolo, e por que registros isolados seriam insuficientes.
6.4 Lavagem de dinheiro por meio digital: integração entre prova técnica e financeira
Cenário: grupo obtém valores por fraude e pulveriza em múltiplas contas, usando carteiras digitais, intermediadores e compras online para dissimular origem.
Objetivos probatórios: (i) demonstrar origem ilícita (crime antecedente); (ii) mapear camadas de ocultação/dissimulação; (iii) identificar beneficiários finais; (iv) vincular operadores a contas e dispositivos.
Passo a passo:
Passo 1: fixar eventos do crime antecedente (datas/valores/contas) e estabelecer a janela de dispersão.
Passo 2: requisitar/representar por dados financeiros pertinentes: transações específicas, titulares, dispositivos/canais de acesso quando disponíveis, e vínculos cadastrais.
Passo 3: obter registros digitais que conectem operadores às transações: logins em contas, e-mails de confirmação, IPs, dispositivos, endereços de entrega, contas de marketplace.
Passo 4: construir grafo narrativo (sem depender de software): quem recebeu, quando, quanto, para onde foi, qual justificativa aparente, qual evidência de controle (logins, recuperação, dispositivos).
Passo 5: redigir a narrativa jurídica destacando atos de ocultação/dissimulação e o vínculo subjetivo, apoiando-se em sequências de eventos digitais e financeiros.
Cuidados de pedido: delimitar por contas e períodos, evitando “quebra total” sem amarração. Justificar por que determinados intermediadores são relevantes (ex.: aparecem como destino recorrente imediatamente após fraudes).
7. Modelagem de pedidos: estrutura recomendada para requisições e representações
7.1 Estrutura em blocos com pertinência
Uma técnica útil é dividir o pedido em blocos: identificação, registros, conteúdo (se indispensável), preservação e forma de entrega. Cada bloco deve conter: objeto, período, justificativa e finalidade.
I) Identificação da conta/perfil: ID interno, e-mails/telefones vinculados, datas de criação e alterações no período X–Y, para verificar tomada de conta. II) Registros de acesso: IP, porta lógica (se disponível), data/hora com fuso, identificadores de sessão e dispositivos no período X–Y, para atribuição de autoria e correlação com eventos financeiros. III) Conteúdo: mensagens trocadas entre a conta investigada e o identificador Z no período X–Y, exclusivamente para comprovar a ameaça/indução e o nexo causal com a transferência T. IV) Preservação: manutenção dos dados acima até ulterior deliberação, diante do risco de perecimento por rotatividade de logs. V) Integridade e contexto: envio em formato que contenha campos originais, identificação do responsável pela extração e informações sobre fuso/precisão temporal.7.2 Delimitação temporal: como justificar janelas
Quando a vítima não sabe o horário exato, use marcos verificáveis (comprovante de transação, e-mail de alerta, registro de atendimento) e peça janela razoável ao redor do evento, justificando: “para capturar login preparatório e ações subsequentes de ocultação”. Evite janelas extensas sem explicação.
7.3 Identificadores: como reduzir ambiguidade
Inclua o máximo de identificadores disponíveis: ID do perfil, URL, e-mail, telefone, nome de usuário, hash/ID de mensagem quando houver, IMEI/serial do aparelho apreendido, chaves de pagamento, IDs de transação. Quanto mais preciso, menor a chance de resposta incompleta e maior a defensabilidade do ato.
8. Integração com perícia: quesitos e comunicação clara
Mesmo sem discutir ferramentas, o Delegado deve formular quesitos que traduzam a hipótese investigativa em perguntas verificáveis. Bons quesitos são específicos, temporalmente delimitados e orientados a eventos.
Exemplos de quesitos: identificar contas autenticadas no dispositivo no período X–Y; verificar existência de arquivos com metadados compatíveis com criação no dia do fato; apontar histórico de conexões e redes utilizadas; identificar evidências de exclusão recente; correlacionar carimbos de tempo com logs externos.
Cuidados: evitar quesitos genéricos (“varrer tudo”), preferindo quesitos por hipótese (“verificar se houve acesso à conta Z e envio de mensagens no intervalo do golpe”).
A prova técnica ganha força quando o relatório investigativo explica, em linguagem jurídica, o que o achado significa para materialidade, autoria, dolo, vantagem e ocultação, sempre com remissão a fontes e registros.
